ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com
TEDxCMU

Lorrie Faith Cranor: What’s wrong with your pa$$w0rd?

Lorrie Faith Cranor: ¿Qué hay de malo en su c0ntr@señ@?

Filmed:
1,566,161 views

Lorrie Faith Cranor estudió miles de contraseñas reales para averiguar los errores más sorprendentes y más comunes que los usuarios, y los sitios seguros, cometen comprometiendo su seguridad. ¿Y cómo se pueden investigar miles de contraseñas reales sin comprometer la seguridad de ningún usuario?, se podrán preguntar... Esa es una historia en sí misma. Se trata de información secreta que vale la pena conocer, sobre todo si su contraseña es 123456...
- Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online. Full bio

Double-click the English transcript below to play the video.

00:12
I am a computercomputadora scienceciencia and engineeringIngenieria
professorprofesor here at CarnegieCarnegie MellonMellon,
0
535
3445
Soy profesora de ciencias de la computación
e ingeniería aquí en Carnegie Mellon,
00:15
and my researchinvestigación focusesenfoques on
usableusable privacyintimidad and securityseguridad,
1
3980
4248
y mi investigación se centra
en la privacidad y seguridad utilizable,
00:20
and so my friendsamigos like to give me examplesejemplos
2
8228
2768
y por ello, a mis amigos
les gusta darme ejemplos
00:22
of theirsu frustrationsfrustraciones with computinginformática systemssistemas,
3
10996
2202
de sus frustraciones
con los sistemas informáticos,
00:25
especiallyespecialmente frustrationsfrustraciones relatedrelacionado to
4
13198
3354
especialmente de frustraciones
relacionados con
00:28
unusableinutilizable privacyintimidad and securityseguridad.
5
16552
4112
la privacidad y la seguridad inutilizable.
00:32
So passwordscontraseñas are something that I hearoír a lot about.
6
20664
2711
Así que he oído mucho
sobre contraseñas.
00:35
A lot of people are frustratedfrustrado with passwordscontraseñas,
7
23375
2880
Muchas personas se sienten
frustradas con las contraseñas,
00:38
and it's badmalo enoughsuficiente
8
26255
1694
y es bastante lamentable
00:39
when you have to have one really good passwordcontraseña
9
27949
2644
cuando uno debe tener
una contraseña muy buena
00:42
that you can rememberrecuerda
10
30593
1822
que pueda recordar
00:44
but nobodynadie elsemás is going to be ablepoder to guessadivinar.
11
32415
2894
pero que nadie pueda adivinar.
00:47
But what do you do when you have accountscuentas
12
35309
1637
Pero ¿qué hacer
cuando se tienen cuentas
00:48
on a hundredcien differentdiferente systemssistemas
13
36946
1808
en un centenar de diferentes sistemas
00:50
and you're supposedsupuesto to have a uniqueúnico passwordcontraseña
14
38754
2276
y que a su vez se supone que
deben ser contraseñas únicas
00:53
for eachcada of these systemssistemas?
15
41030
3037
para cada uno de estos sistemas?
00:56
It's toughdifícil.
16
44067
2184
Es complejo.
00:58
At CarnegieCarnegie MellonMellon, they used to make it
17
46251
1759
En Carnegie Mellon solían hacerlo
01:00
actuallyactualmente prettybonita easyfácil for us
18
48010
1299
bastante fácil
01:01
to rememberrecuerda our passwordscontraseñas.
19
49309
1737
para que recordáramos
nuestras contraseñas.
01:03
The passwordcontraseña requirementrequisito up throughmediante 2009
20
51046
2403
El requisito hasta el 2009 para
las contraseñas era
01:05
was just that you had to have a passwordcontraseña
21
53449
2379
que estas tuvieran
01:07
with at leastmenos one characterpersonaje.
22
55828
2211
al menos un carácter.
01:10
PrettyBonita easyfácil. But then they changedcambiado things,
23
58039
2888
Bastante fácil.
Pero luego cambiaron las cosas,
01:12
and at the endfin of 2009, they announcedAnunciado
24
60927
2670
y al final del 2009 se anunció
01:15
that we were going to have a newnuevo policypolítica,
25
63597
2376
que íbamos a tener una nueva política,
01:17
and this newnuevo policypolítica requirednecesario
26
65973
1863
y esta nueva política precisaba
01:19
passwordscontraseñas that were at leastmenos eightocho characterscaracteres long,
27
67836
2681
contraseñas que tuvieran
al menos 8 caracteres,
01:22
with an uppercasemayúscula lettercarta, lowercaseminúscula lettercarta,
28
70517
1775
con una letra mayúscula,
letra minúscula,
01:24
a digitdígito, a symbolsímbolo,
29
72292
1288
un dígito y un símbolo.
01:25
you couldn'tno pudo use the samemismo
characterpersonaje more than threeTres timesveces,
30
73580
2638
No se podía utilizar
el mismo carácter más de tres veces,
01:28
and it wasn'tno fue allowedpermitido to be in a dictionarydiccionario.
31
76218
2434
y no podía aparecer en un diccionario.
01:30
Now, when they implementedimplementado this newnuevo policypolítica,
32
78652
2182
Cuando implementaron
esta nueva política,
01:32
a lot of people, my colleaguescolegas and friendsamigos,
33
80834
2310
muchos de mis colegas y amigos,
01:35
camevino up to me and they said, "WowGuau,
34
83144
1854
me vinieron para decirme:
01:36
now that's really unusableinutilizable.
35
84998
1512
"Ahora sí que es
realmente inservible.
01:38
Why are they doing this to us,
36
86510
1193
¿Por qué nos hacen esto
01:39
and why didn't you stop them?"
37
87703
1711
y por qué no los detuviste?"
01:41
And I said, "Well, you know what?
38
89414
1356
Y yo dije: "¿Saben qué?
01:42
They didn't askpedir me."
39
90770
1508
Nadie me preguntó".
01:44
But I got curiouscurioso, and I decideddecidido to go talk
40
92278
3465
Pero me picó la curiosidad
y decidí ir a hablar
01:47
to the people in chargecargar of our computercomputadora systemssistemas
41
95743
1937
con las personas a cargo de
nuestros sistemas informáticos
01:49
and find out what led them to introduceintroducir
42
97680
2831
y averiguar qué les llevó a introducir
01:52
this newnuevo policypolítica,
43
100511
1848
esta nueva política.
01:54
and they said that the universityUniversidad
44
102359
1584
Y dijeron que la universidad
01:55
had joinedunido a consortiumconsorcio of universitiesuniversidades,
45
103943
2366
se había unido a un
consorcio de universidades,
01:58
and one of the requirementsrequisitos of membershipafiliación
46
106309
2634
y uno de los requisitos de membresía
02:00
was that we had to have strongermás fuerte passwordscontraseñas
47
108943
2248
era que debíamos tener
contraseñas más seguras
02:03
that compliedcumplido with some newnuevo requirementsrequisitos,
48
111191
2272
que cumpliesen algunos
nuevos requisitos,
02:05
and these requirementsrequisitos were that our passwordscontraseñas
49
113463
2104
y estos requisitos eran
que nuestras contraseñas
02:07
had to have a lot of entropyentropía.
50
115567
1604
tenía que tener una
gran cantidad de entropía.
02:09
Now entropyentropía is a complicatedComplicado termtérmino,
51
117171
2278
La entropía es un término complicado,
02:11
but basicallybásicamente it measuresmedidas the strengthfuerza of passwordscontraseñas.
52
119449
2798
pero básicamente mide
la fuerza de las contraseñas.
02:14
But the thing is, there isn't actuallyactualmente
53
122247
1979
Pero el tema es que eso no es en realidad
02:16
a standardestándar measuremedida of entropyentropía.
54
124226
1949
una medida estándar de entropía.
02:18
Now, the NationalNacional InstituteInstituto
of StandardsEstándares and TechnologyTecnología
55
126175
2399
El Instituto Nacional
de Estándares y Tecnología
02:20
has a setconjunto of guidelineslineamientos
56
128574
1553
tiene un conjunto de directrices
02:22
whichcual have some rulesreglas of thumbpulgar
57
130127
2568
con algunas reglas básicas
02:24
for measuringmedición entropyentropía,
58
132695
1440
para medir la entropía,
02:26
but they don't have anything too specificespecífico,
59
134135
2895
pero no tienen nada muy específico,
02:29
and the reasonrazón they only have rulesreglas of thumbpulgar
60
137030
2337
y la razón por la que solo
tiene reglas básicas
02:31
is it turnsvueltas out they don't actuallyactualmente have any good datadatos
61
139367
3136
es porque en realidad
no tienen buena información
02:34
on passwordscontraseñas.
62
142503
1520
sobre contraseñas.
02:36
In facthecho, theirsu reportinforme statesestados,
63
144023
2312
De hecho, su informe señala,
02:38
"UnfortunatelyDesafortunadamente, we do not have much datadatos
64
146335
2328
"Desafortunadamente,
no tenemos mucha información
02:40
on the passwordscontraseñas usersusuarios
chooseescoger underdebajo particularespecial rulesreglas.
65
148663
2842
sobre las contraseñas que los usuarios
eligen bajo reglas particulares.
02:43
NISTNIST would like to obtainobtener more datadatos
66
151505
2333
Al Instituto de estándares y tecnología (NIST)
le gustaría obtener más datos
02:45
on the passwordscontraseñas usersusuarios actuallyactualmente chooseescoger,
67
153838
2462
sobre las contraseñas
escogidas por los usuarios,
02:48
but systemsistema administratorsadministradores
are understandablycomprensiblemente reluctantreacio
68
156300
2463
pero los administradores de sistemas
son comprensiblemente reacios
02:50
to revealrevelar passwordcontraseña datadatos to othersotros."
69
158763
2940
a revelar datos de las
contraseñas a externos".
02:53
So this is a problemproblema, but our researchinvestigación groupgrupo
70
161703
3097
Esto es un problema,
pero nuestro grupo de investigación
02:56
lookedmirado at it as an opportunityoportunidad.
71
164800
2140
lo vio como una oportunidad.
02:58
We said, "Well, there's a need
for good passwordcontraseña datadatos.
72
166940
3100
Dijimos: "Hay una necesidad de
tener buenos datos sobre contraseñas.
03:02
Maybe we can collectrecoger some good passwordcontraseña datadatos
73
170040
2148
Tal vez podamos recoger
algunos buenos datos sobre contraseñas
03:04
and actuallyactualmente advanceavanzar the stateestado of the artart here.
74
172188
2704
y de hecho avanzar
el estado actual aquí".
03:06
So the first thing we did is,
75
174892
1672
Así que lo primero que hicimos fue
03:08
we got a bagbolso of candycaramelo barsbarras
76
176564
1556
ir con una bolsa de caramelos
03:10
and we walkedcaminado around campuscampus
77
178120
1086
a dar una vuelta por el campus
03:11
and talkedhabló to studentsestudiantes, facultyfacultad and staffpersonal,
78
179206
2798
para hablar con los estudiantes,
profesores y personal,
03:14
and askedpreguntó them for informationinformación
79
182004
1530
y pedirles información
03:15
about theirsu passwordscontraseñas.
80
183534
1552
sobre sus contraseñas.
03:17
Now we didn't say, "Give us your passwordcontraseña."
81
185086
3004
No les decíamos:
"Danos tu contraseña".
03:20
No, we just askedpreguntó them about theirsu passwordcontraseña.
82
188090
2661
Solo les preguntamos
acerca de su contraseña.
03:22
How long is it? Does it have a digitdígito?
83
190751
1478
¿Cuánto tiempo hace que la tienes?
¿Tiene algún dígito?
03:24
Does it have a symbolsímbolo?
84
192229
1068
¿Tiene un símbolo?
03:25
And were you annoyedirritado at havingteniendo to createcrear
85
193297
2045
Y ¿te molestó tener que crear
03:27
a newnuevo one last weeksemana?
86
195342
2744
una nueva la semana pasada?
03:30
So we got resultsresultados from 470 studentsestudiantes,
87
198086
3206
Así que obtuvimos
resultados de 470 estudiantes,
03:33
facultyfacultad and staffpersonal,
88
201292
971
personal docente y administrativo,
03:34
and indeeden efecto we confirmedconfirmado that the newnuevo policypolítica
89
202263
2514
y de hecho se confirmó
que la nueva política
03:36
was very annoyingmolesto,
90
204777
1453
era muy molesta.
03:38
but we alsoademás foundencontró that people said
91
206230
1792
No obstante, también averiguamos que
03:40
they feltsintió more secureseguro with these newnuevo passwordscontraseñas.
92
208022
3130
se sentían más seguros
con estas nuevas contraseñas.
03:43
We foundencontró that mostmás people knewsabía
93
211152
2306
Averiguamos que
la mayoría de la gente sabía
03:45
they were not supposedsupuesto to
writeescribir theirsu passwordcontraseña down,
94
213458
2152
que se suponía que no
debía anotar su contraseña,
03:47
and only 13 percentpor ciento of them did,
95
215610
2391
y solo el 13 % lo hizo,
03:50
but disturbinglyinquietantemente, 80 percentpor ciento of people
96
218001
2416
pero desconcertantemente, el 80 %
03:52
said they were reusingreutilizando theirsu passwordcontraseña.
97
220417
2124
dijo que reutilizaban su contraseña.
03:54
Now, this is actuallyactualmente more dangerouspeligroso
98
222541
1796
Ahora, esto es en realidad más peligroso
03:56
than writingescritura your passwordcontraseña down,
99
224337
2022
que anotar la contraseña,
03:58
because it makeshace you much
more susceptiblesusceptible to attackersatacantes.
100
226359
3561
porque nos hace mucho
más vulnerables a los atacantes.
04:01
So if you have to, writeescribir your passwordscontraseñas down,
101
229920
3118
Así que si tienen que hacerlo,
anoten sus contraseñas,
04:05
but don't reusereutilizar them.
102
233038
1799
pero no la reutilicen.
04:06
We alsoademás foundencontró some interestinginteresante things
103
234837
1751
También averiguamos
algunas cosas interesantes
04:08
about the symbolssímbolos people use in passwordscontraseñas.
104
236588
2961
acerca de los símbolos que
las personas utilizan en las contraseñas.
04:11
So CMUCMU allowspermite 32 possibleposible symbolssímbolos,
105
239549
2799
Así CMU permite 32 posibles símbolos,
04:14
but as you can see, there's only a smallpequeña numbernúmero
106
242348
2433
pero como pueden ver,
solo hay un pequeño número
04:16
that mostmás people are usingutilizando,
107
244781
1802
que la mayoría de la gente utiliza,
04:18
so we're not actuallyactualmente gettingconsiguiendo very much strengthfuerza
108
246583
2941
así que no estamos consiguiendo
realmente mucha seguridad
04:21
from the symbolssímbolos in our passwordscontraseñas.
109
249524
2466
con los símbolos
en nuestras contraseñas.
04:23
So this was a really interestinginteresante studyestudiar,
110
251990
2711
Así que fue un estudio muy interesante,
04:26
and now we had datadatos from 470 people,
111
254701
2464
y ahora teníamos
los datos de 470 personas,
04:29
but in the schemeesquema of things,
112
257165
1305
pero en la situación actual
04:30
that's really not very much passwordcontraseña datadatos,
113
258470
2580
esos no son realmente
muchos datos de contraseñas,
04:33
and so we lookedmirado around to see
114
261050
1445
y así miramos a nuestro alrededor
para ver
04:34
where could we find additionaladicional passwordcontraseña datadatos?
115
262495
2560
dónde podríamos encontrar
datos adicionales de contraseñas.
04:37
So it turnsvueltas out there are a lot of people
116
265055
2176
Resulta que hay mucha gente
04:39
going around stealingrobando passwordscontraseñas,
117
267231
2202
por ahí robando contraseñas
04:41
and they oftena menudo go and postenviar these passwordscontraseñas
118
269433
2477
y a menudo las publican
04:43
on the InternetInternet.
119
271910
1337
en Internet.
04:45
So we were ablepoder to get accessacceso
120
273247
1673
Así que pudimos obtener acceso
04:46
to some of these stolenrobado passwordcontraseña setsconjuntos.
121
274920
3970
a algunos de estos conjuntos
de contraseñas robadas.
04:50
This is still not really idealideal for researchinvestigación, thoughaunque,
122
278890
2328
Sin embargo, esto todavía no es
realmente ideal para una investigación,
04:53
because it's not entirelyenteramente clearclaro
123
281218
2037
porque no es del todo claro
04:55
where all of these passwordscontraseñas camevino from,
124
283255
2184
de dónde proceden
todas estas contraseñas,
04:57
or exactlyexactamente what policiespolíticas were in effectefecto
125
285439
2242
o qué políticas concretas
estaban en efecto
04:59
when people createdcreado these passwordscontraseñas.
126
287681
2108
cuando las personas
crearon esas contraseñas.
05:01
So we wanted to find some better sourcefuente of datadatos.
127
289789
3552
Así es que queríamos encontrar
una mejor fuente de datos.
05:05
So we decideddecidido that one thing we could do
128
293341
1634
Decidimos qué una cosa
que podríamos hacer
05:06
is we could do a studyestudiar and have people
129
294975
2129
era hacer un estudio
y que la gente
05:09
actuallyactualmente createcrear passwordscontraseñas for our studyestudiar.
130
297104
3240
realmente creara contraseñas
para nuestro estudio.
05:12
So we used a serviceServicio calledllamado
AmazonAmazonas MechanicalMecánico Turkturco,
131
300344
2821
Así que usamos un servicio llamado
Amazon Mechanical Turk,
05:15
and this is a serviceServicio where you can postenviar
132
303165
2334
que es un servicio para enviar
05:17
a smallpequeña jobtrabajo onlineen línea that takes a minuteminuto,
133
305499
2304
un pequeña tarea
que lleva un minuto,
05:19
a fewpocos minutesminutos, an hourhora,
134
307803
1500
unos minutos, una hora,
05:21
and paypaga people, a pennycentavo, tendiez centscentavos, a fewpocos dollarsdólares,
135
309303
2584
y paga a la gente un centavo,
diez centavos, unos dólares
05:23
to do a tasktarea for you,
136
311887
1346
por hacer la tarea por Ud.,
05:25
and then you paypaga them throughmediante AmazonAmazonas.comcom.
137
313233
2122
y después se les paga a
través de Amazon.com.
05:27
So we paidpagado people about 50 centscentavos
138
315355
2294
Así que pagamos a la
gente unos 50 centavos
05:29
to createcrear a passwordcontraseña followingsiguiendo our rulesreglas
139
317649
2596
por crear una contraseña
siguiendo nuestras reglas
05:32
and answeringrespondiendo a surveyencuesta,
140
320245
1410
y por responder una encuesta,
05:33
and then we paidpagado them again to come back
141
321655
2525
y luego les pagamos de nuevo
para volver
05:36
two daysdías laterluego and logIniciar sesión in
142
324180
2071
dos días más tarde
y abrir una sesión
05:38
usingutilizando theirsu passwordcontraseña and answeringrespondiendo anotherotro surveyencuesta.
143
326251
2574
usando su contraseña
y contestar otra encuesta.
05:40
So we did this, and we collectedrecogido 5,000 passwordscontraseñas,
144
328825
4464
Haciendo esto,
hemos recogido 5000 contraseñas,
05:45
and we gavedio people a bunchmanojo of differentdiferente policiespolíticas
145
333289
2695
y dimos a la gente una serie
de diferentes políticas
05:47
to createcrear passwordscontraseñas with.
146
335984
1508
para crear contraseñas.
05:49
So some people had a prettybonita easyfácil policypolítica,
147
337492
1910
Algunas personas debían aplicar
una política bastante fácil,
05:51
we call it BasicBASIC8,
148
339402
1539
la llamamos Basic8,
05:52
and here the only ruleregla was that your passwordcontraseña
149
340941
2146
y ahí la única regla es que la contraseña
05:55
had to have at leastmenos eightocho characterscaracteres.
150
343087
3416
debía tener al menos ocho caracteres.
05:58
Then some people had a much harderMás fuerte policypolítica,
151
346503
2251
Otras personas tenían que aplicar
una política mucho más dura,
06:00
and this was very similarsimilar to the CMUCMU policypolítica,
152
348754
2537
y esto era muy similar
a la política de CMU,
06:03
that it had to have eightocho characterscaracteres
153
351291
1934
es decir, ocho caracteres
06:05
includingincluso uppercasemayúscula, lowercaseminúscula, digitdígito, symbolsímbolo,
154
353225
2376
incluyendo mayúsculas,
minúsculas, dígitos, símbolo,
06:07
and passpasar a dictionarydiccionario checkcomprobar.
155
355601
2389
y pasar una verificación de diccionario.
06:09
And one of the other policiespolíticas we triedintentó,
156
357990
1335
Y una de las otras políticas que probamos,
06:11
and there were a wholetodo bunchmanojo more,
157
359325
1270
y había un montón más,
06:12
but one of the onesunos we triedintentó was calledllamado BasicBASIC16,
158
360595
2240
pero una de las que probamos
fue la llamada Basic16,
06:14
and the only requirementrequisito here
159
362835
2632
y el único requisito aquí
06:17
was that your passwordcontraseña had
to have at leastmenos 16 characterscaracteres.
160
365467
3153
era que la contraseña
debía tener al menos 16 caracteres.
06:20
All right, so now we had 5,000 passwordscontraseñas,
161
368620
2458
Muy bien, así que ahora
teníamos 5000 contraseñas,
06:23
and so we had much more detaileddetallado informationinformación.
162
371078
3563
e información mucho más detallada.
06:26
Again we see that there's only a smallpequeña numbernúmero
163
374641
2559
Una vez más constatamos
que la gente realmente solo usa
06:29
of symbolssímbolos that people are actuallyactualmente usingutilizando
164
377200
1915
un pequeño número de símbolos
06:31
in theirsu passwordscontraseñas.
165
379115
1886
en sus contraseñas.
06:33
We alsoademás wanted to get an ideaidea of how strongfuerte
166
381001
2599
También queríamos tener una idea de
cuánta seguridad
06:35
the passwordscontraseñas were that people were creatingcreando,
167
383600
2771
ofrecían las contraseñas que
las personas creaban,
06:38
but as you maymayo recallrecordar, there isn't a good measuremedida
168
386371
2620
pero, como recordarán,
no es una buena medida
06:40
of passwordcontraseña strengthfuerza.
169
388991
1754
de seguridad de la contraseña.
06:42
So what we decideddecidido to do was to see
170
390745
2312
Así que decidimos ver
06:45
how long it would take to crackgrieta these passwordscontraseñas
171
393057
2370
el tiempo que se tardaría
en descifrar estas contraseñas
06:47
usingutilizando the bestmejor crackingagrietamiento toolsherramientas
172
395427
1414
utilizando las mejores
herramientas de descifrado
06:48
that the badmalo guys are usingutilizando,
173
396841
1808
que usan los malos,
06:50
or that we could find informationinformación about
174
398649
2016
o averiguando información al respecto
06:52
in the researchinvestigación literatureliteratura.
175
400665
1537
en la literatura especializada.
06:54
So to give you an ideaidea of how badmalo guys
176
402202
2758
Para que se hagan
una idea de cómo los chicos malos
06:56
go about crackingagrietamiento passwordscontraseñas,
177
404960
2170
descifran contraseñas,
06:59
they will stealrobar a passwordcontraseña filearchivo
178
407130
1951
ellos roban un archivo de contraseñas
07:01
that will have all of the passwordscontraseñas
179
409081
2153
donde están todas las contraseñas
07:03
in kindtipo of a scrambledrevuelto formformar, calledllamado a hashpicadillo,
180
411234
2889
en una especie de formulario
codificado llamado hash,
07:06
and so what they'llellos van a do is they'llellos van a make a guessadivinar
181
414123
2562
y así lo que harán es una conjetura
07:08
as to what a passwordcontraseña is,
182
416685
1712
acerca de lo que es una contraseña,
07:10
runcorrer it throughmediante a hashinghash functionfunción,
183
418397
1897
que se comparará con una función hash,
07:12
and see whethersi it matchespartidos
184
420294
1765
para ver si coincide con
07:14
the passwordscontraseñas they have on
theirsu stolenrobado passwordcontraseña listlista.
185
422059
3950
las contraseñas de su lista
de contraseñas robadas.
07:18
So a dumbtonto attackeragresor will try everycada passwordcontraseña in orderorden.
186
426009
3105
Así que un atacante tonto
tratará todas las contraseñas en orden.
07:21
They'llEllos van a startcomienzo with AAAAAAAAAA and movemovimiento on to AAAABAAAAB,
187
429114
3568
Empezarán con AAAAA
y pasarán a AAAAB,
07:24
and this is going to take a really long time
188
432682
2418
y esto tomará mucho tiempo
07:27
before they get any passwordscontraseñas
189
435100
1526
antes de encontrar las contraseñas
07:28
that people are really likelyprobable to actuallyactualmente have.
190
436626
2697
que las personas son propensas a tener.
07:31
A smartinteligente attackeragresor, on the other handmano,
191
439323
2183
Por otra parte, un atacante astuto,
07:33
does something much more cleverinteligente.
192
441506
1386
hace algo mucho más inteligente.
07:34
They look at the passwordscontraseñas
193
442892
1826
Miran las contraseñas
07:36
that are knownconocido to be popularpopular
194
444718
1800
que se saben que son populares
07:38
from these stolenrobado passwordcontraseña setsconjuntos,
195
446518
1727
a partir de estos conjuntos
de contraseñas robadas,
07:40
and they guessadivinar those first.
196
448245
1189
y las adivinan en primer lugar.
07:41
So they're going to startcomienzo by guessingadivinación "passwordcontraseña,"
197
449434
2134
Así que empezaremos
adivinando "contraseña"
07:43
and then they'llellos van a guessadivinar "I love you," and "monkeymono,"
198
451568
2751
y luego "Te amo" y "mono"
07:46
and "12345678,"
199
454319
2583
y "12345678",
07:48
because these are the passwordscontraseñas
200
456902
1312
porque estas son las contraseñas
07:50
that are mostmás likelyprobable for people to have.
201
458214
1905
que con mayor probabilidad
tiene la gente.
07:52
In facthecho, some of you probablyprobablemente have these passwordscontraseñas.
202
460119
3261
De hecho, algunos de Uds. probablemente
tienen estas contraseñas.
07:57
So what we foundencontró
203
465191
1298
Así que lo que encontramos
07:58
by runningcorriendo all of these 5,000 passwordscontraseñas we collectedrecogido
204
466489
3406
mediante la ejecución de todas
estas 5000 contraseñas recogidas
08:01
throughmediante these testspruebas to see how strongfuerte they were,
205
469895
4106
a través de estas pruebas
para ver lo seguras que eran,
08:06
we foundencontró that the long passwordscontraseñas
206
474001
2752
encontramos que las contraseñas largas
08:08
were actuallyactualmente prettybonita strongfuerte,
207
476753
1280
eran en realidad bastante seguras,
08:10
and the complexcomplejo passwordscontraseñas were prettybonita strongfuerte too.
208
478033
3262
y las contraseñas complejas
eran bastante seguras también.
08:13
Howeversin embargo, when we lookedmirado at the surveyencuesta datadatos,
209
481295
2442
Sin embargo, cuando nos fijamos
en los datos del estudio,
08:15
we saw that people were really frustratedfrustrado
210
483737
3024
vimos que la gente
estaba realmente frustrada
08:18
by the very complexcomplejo passwordscontraseñas,
211
486761
2339
por las contraseñas muy complejas,
08:21
and the long passwordscontraseñas were a lot more usableusable,
212
489100
2630
y que las contraseñas largas
eran mucho más usables,
08:23
and in some casescasos, they were actuallyactualmente
213
491730
1325
y, en algunos casos,
eran en realidad
08:25
even strongermás fuerte than the complexcomplejo passwordscontraseñas.
214
493055
2908
incluso más seguras
que las contraseñas complejas.
08:27
So this suggestssugiere that,
215
495963
1169
Así que esto sugiere que,
08:29
insteaden lugar of tellingnarración people that they need
216
497132
1703
en lugar de decirle
a la gente que necesitan
08:30
to put all these symbolssímbolos and numbersnúmeros
217
498835
1522
poner todos estos símbolos y números
08:32
and crazyloca things into theirsu passwordscontraseñas,
218
500357
2842
y cosas locas en sus contraseñas,
08:35
we mightpodría be better off just tellingnarración people
219
503199
2022
podríamos mejorar
simplemente diciendo a la gente
08:37
to have long passwordscontraseñas.
220
505221
2652
que tengan contraseñas largas.
08:39
Now here'saquí está the problemproblema, thoughaunque:
221
507873
1792
Sin embargo, aquí hay el problema,
08:41
Some people had long passwordscontraseñas
222
509665
2255
Algunas personas
tenían contraseñas largas
08:43
that actuallyactualmente weren'tno fueron very strongfuerte.
223
511920
1555
que en realidad no eran muy seguras.
08:45
You can make long passwordscontraseñas
224
513475
1997
Pueden crear contraseñas largas
08:47
that are still the sortordenar of thing
225
515472
1556
del tipo
08:49
that an attackeragresor could easilyfácilmente guessadivinar.
226
517028
1742
que un atacante
podría adivinar fácilmente.
08:50
So we need to do more than
just say long passwordscontraseñas.
227
518770
3365
Así que debemos añadir algo más
a las contraseñas largas.
08:54
There has to be some additionaladicional requirementsrequisitos,
228
522135
1936
Deben existir requisitos adicionales,
08:56
and some of our ongoingen marcha researchinvestigación is looking at
229
524071
2969
y nuestra investigación en curso
está mirando
08:59
what additionaladicional requirementsrequisitos we should addañadir
230
527040
2439
qué requisitos adicionales hay que añadir
09:01
to make for strongermás fuerte passwordscontraseñas
231
529479
2104
para crear contraseñas más seguras
09:03
that alsoademás are going to be easyfácil for people
232
531583
2312
que también sean fáciles para la gente
09:05
to rememberrecuerda and typetipo.
233
533895
2698
recordar y escribir.
09:08
AnotherOtro approachenfoque to gettingconsiguiendo people to have
234
536593
2126
Otra forma para lograr
que las personas tengan
09:10
strongermás fuerte passwordscontraseñas is to use a passwordcontraseña metermetro.
235
538719
2257
contraseñas más seguras
es usar un medidor de contraseña.
09:12
Here are some examplesejemplos.
236
540976
1385
Estos son algunos ejemplos:
09:14
You maymayo have seenvisto these on the InternetInternet
237
542361
1401
Puede que los hayan visto en Internet
09:15
when you were creatingcreando passwordscontraseñas.
238
543762
3057
al crear sus contraseñas.
09:18
We decideddecidido to do a studyestudiar to find out
239
546819
2248
Decidimos hacer un estudio
para averiguar
09:21
whethersi these passwordcontraseña metersmetros actuallyactualmente work.
240
549067
2887
si estos medidores de contraseñas
realmente funcionan.
09:23
Do they actuallyactualmente help people
241
551954
1421
¿Esto realmente ayuda
a las personas
09:25
have strongermás fuerte passwordscontraseñas,
242
553375
1453
a tener contraseñas seguras?
09:26
and if so, whichcual onesunos are better?
243
554828
2086
Y si es así, ¿cuáles son mejores?
09:28
So we testedprobado passwordcontraseña metersmetros that were
244
556914
2507
Así que probamos
medidores de contraseñas
09:31
differentdiferente sizestamaños, shapesformas, colorscolores,
245
559421
2098
de diferentes tamaños,
formas, colores,
09:33
differentdiferente wordspalabras nextsiguiente to them,
246
561519
1416
diferentes palabras al lado,
09:34
and we even testedprobado one that was a dancingbailando bunnyconejito.
247
562935
3275
y hasta probamos uno
con era un conejito bailarín.
09:38
As you typetipo a better passwordcontraseña,
248
566210
1582
Al escribir una mejor contraseña,
09:39
the bunnyconejito dancesbailes fasterMás rápido and fasterMás rápido.
249
567792
2539
el conejo baila cada vez más rápido.
09:42
So this was prettybonita fundivertido.
250
570331
2529
Así que fue bastante divertido.
09:44
What we foundencontró
251
572860
1567
Lo que encontramos
09:46
was that passwordcontraseña metersmetros do work.
252
574427
3572
fue que los medidores
de contraseñas funcionan.
09:49
(LaughterRisa)
253
577999
1801
(Risas)
09:51
MostMás of the passwordcontraseña metersmetros were actuallyactualmente effectiveeficaz,
254
579800
3333
La mayoría de los medidores de contraseñas
eran realmente eficaces,
09:55
and the dancingbailando bunnyconejito was very effectiveeficaz too,
255
583133
2521
y el conejo bailarín
era muy eficaz también,
09:57
but the passwordcontraseña metersmetros that were the mostmás effectiveeficaz
256
585654
2881
pero los medidores de
contraseña más eficaces
10:00
were the onesunos that madehecho you work harderMás fuerte
257
588535
2355
fueron los que les hicieron trabajar más
10:02
before they gavedio you that thumbspulgares up and said
258
590890
1980
antes de mostrar el pulgar alzado y decir
10:04
you were doing a good jobtrabajo,
259
592870
1377
que estábamos haciendo
un buen trabajo,
10:06
and in facthecho we foundencontró that mostmás
260
594247
1512
y de hecho encontramos que la mayoría
10:07
of the passwordcontraseña metersmetros on the InternetInternet todayhoy
261
595759
2281
de los medidores de contraseña
en Internet hoy
10:10
are too softsuave.
262
598040
952
son demasiado permisivos.
10:10
They tell you you're doing a good jobtrabajo too earlytemprano,
263
598992
2203
Dicen que lo hacemos bien antes de tiempo,
10:13
and if they would just wait a little bitpoco
264
601195
1929
y si solo esperaran un poco
10:15
before givingdando you that positivepositivo feedbackrealimentación,
265
603124
2049
antes de dar esa respuesta positiva,
10:17
you probablyprobablemente would have better passwordscontraseñas.
266
605173
3160
Uds. probablemente tendrían
mejores contraseñas.
10:20
Now anotherotro approachenfoque to better passwordscontraseñas, perhapsquizás,
267
608333
3847
Ahora, otro enfoque
para mejorar las contraseñas, tal vez,
10:24
is to use passpasar phrasesfrases insteaden lugar of passwordscontraseñas.
268
612180
2890
es usar frases de paso
en lugar de contraseñas.
10:27
So this was an xkcdxkcd cartoondibujos animados
from a couplePareja of yearsaños agohace,
269
615070
3418
Este fue un dibujo animado xkcd
de hace unos años,
10:30
and the cartoonistdibujante suggestssugiere
270
618488
1674
y el dibujante sugiere
10:32
that we should all use passpasar phrasesfrases,
271
620162
2196
que todos debemos
utilizar frases de paso,
10:34
and if you look at the secondsegundo rowfila of this cartoondibujos animados,
272
622358
3170
y si nos fijamos en
la segunda fila de esta caricatura,
10:37
you can see the cartoonistdibujante is suggestingsugerencia
273
625528
1857
se puede ver que el dibujante sugiere
10:39
that the passpasar phrasefrase "correctcorrecto horsecaballo batterybatería staplegrapa"
274
627385
3441
que la frase
"batería básica del caballo correcto"
10:42
would be a very strongfuerte passpasar phrasefrase
275
630826
2481
sería una frase muy segura
10:45
and something really easyfácil to rememberrecuerda.
276
633307
1916
y algo muy fácil de recordar.
10:47
He saysdice, in facthecho, you've alreadyya rememberedrecordado it.
277
635223
2797
Él dice que, de hecho,
uno ya la recuerda.
10:50
And so we decideddecidido to do a researchinvestigación studyestudiar
278
638020
2150
Así que decidimos hacer un estudio
10:52
to find out whethersi this was truecierto or not.
279
640170
2592
para averiguar si esto era cierto o no.
10:54
In facthecho, everybodytodos who I talk to,
280
642762
1775
De hecho, a todos con los que hablo que
10:56
who I mentionmencionar I'm doing passwordcontraseña researchinvestigación,
281
644537
2042
les menciono que estoy haciendo
una investigación sobre contraseñas,
10:58
they pointpunto out this cartoondibujos animados.
282
646579
1400
señalan esta caricatura.
10:59
"Oh, have you seenvisto it? That xkcdxkcd.
283
647979
1574
"¿Has visto esto? Ese xkcd.
11:01
CorrectCorrecto horsecaballo batterybatería staplegrapa."
284
649553
1602
Batería básica del caballo correcto".
11:03
So we did the researchinvestigación studyestudiar to see
285
651155
1806
Así que hicimos el estudio para ver
11:04
what would actuallyactualmente happenocurrir.
286
652961
2359
lo que realmente pasaría.
11:07
So in our studyestudiar, we used MechanicalMecánico Turkturco again,
287
655320
3060
En nuestro estudio,
hemos utilizado Mechanical Turk de nuevo,
11:10
and we had the computercomputadora pickrecoger the randomaleatorio wordspalabras
288
658380
4167
e hicimos que la computadora
recogiera palabras al azar
11:14
in the passpasar phrasefrase.
289
662547
1100
en la frase de paso.
11:15
Now the reasonrazón we did this
290
663647
1153
Ahora, la razón para hacerlo
11:16
is that humanshumanos are not very good
291
664800
1586
es que los humanos
no son muy buenos
11:18
at pickingcosecha randomaleatorio wordspalabras.
292
666386
1384
escogiendo palabras al azar.
11:19
If we askedpreguntó a humanhumano to do it,
293
667770
1262
Si pidiéramos a un humano hacerlo,
11:21
they would pickrecoger things that were not very randomaleatorio.
294
669032
2998
elegirían las cosas que
no son muy arbitrarias.
11:24
So we triedintentó a fewpocos differentdiferente conditionscondiciones.
295
672030
2032
Así que probamos
algunas premisas diferentes.
11:26
In one conditioncondición, the computercomputadora pickedescogido
296
674062
2090
Bajo una de las premisas
la computadora escogió
11:28
from a dictionarydiccionario of the very commoncomún wordspalabras
297
676152
2216
de un diccionario de
palabras muy comunes
11:30
in the EnglishInglés languageidioma,
298
678368
1362
del idioma inglés,
11:31
and so you'dtu hubieras get passpasar phrasesfrases like
299
679730
1764
y así se obtendría frases de paso como
11:33
"try there threeTres come."
300
681494
1924
"Intentemos hay tres vienen".
11:35
And we lookedmirado at that, and we said,
301
683418
1732
Y nos fijamos en eso,
y dijimos,
11:37
"Well, that doesn't really seemparecer very memorablememorable."
302
685150
3050
"Bueno, no parece realmente
muy memorizable".
11:40
So then we triedintentó pickingcosecha wordspalabras
303
688200
2240
Así que intentamos
recoger las palabras
11:42
that camevino from specificespecífico partspartes of speechhabla,
304
690440
2521
que vinieron de partes
específicas de la conversación
11:44
so how about noun-verb-adjective-nounsustantivo-verbo-adjetivo-sustantivo.
305
692961
2182
como por ejemplo
nombre-verbo-sustantivo-adjetivo.
11:47
That comesproviene up with something
that's sortordenar of sentence-likefrase-como.
306
695143
2577
Eso está relacionado con algo que es
una especie de oración.
11:49
So you can get a passpasar phrasefrase like
307
697720
2070
Así que Uds. pueden
obtener una frase como
11:51
"planplan buildsconstrucciones sure powerpoder"
308
699790
1308
"plan construye poder seguro".
11:53
or "endfin determinesdetermina redrojo drugdroga."
309
701098
2786
o "final determina drogas rojas".
11:55
And these seemedparecía a little bitpoco more memorablememorable,
310
703884
2676
Y estas parecían
un poco más memorizables,
11:58
and maybe people would like those a little bitpoco better.
311
706560
2822
y tal vez a la gente le gustarían más.
12:01
We wanted to comparecomparar them with passwordscontraseñas,
312
709382
2572
Queríamos compararlas
con las contraseñas,
12:03
and so we had the computercomputadora
pickrecoger randomaleatorio passwordscontraseñas,
313
711954
3196
y teníamos la computadora
para escoger contraseñas aleatorias,
12:07
and these were nicebonito and shortcorto, but as you can see,
314
715150
1990
y estas eran agradables y cortas,
pero como pueden ver,
12:09
they don't really look very memorablememorable.
315
717140
2806
en realidad,
no parecen muy memorizables.
12:11
And then we decideddecidido to try something calledllamado
316
719946
1396
Y entonces decidimos
probar algo llamado
12:13
a pronounceablepronunciable passwordcontraseña.
317
721342
1646
contraseña pronunciable.
12:14
So here the computercomputadora picksselecciones randomaleatorio syllablessílabas
318
722988
2245
Así que aquí la computadora
recoge sílabas al azar
12:17
and putspone them togetherjuntos
319
725233
1134
y las pone une
12:18
so you have something sortordenar of pronounceablepronunciable,
320
726367
2475
para obtener algo pronunciable,
12:20
like "tufritvitufritvi" and "vadasabivadasabi."
321
728842
2602
como "tufritvi" y "vadasabi".
12:23
That one kindtipo of rollsrollos off your tonguelengua.
322
731444
2147
Eso fluye en la lengua.
12:25
So these were randomaleatorio passwordscontraseñas that were
323
733591
2216
Así que eran contraseñas
aleatorias
12:27
generatedgenerado by our computercomputadora.
324
735807
2744
generadas por nuestra computadora
12:30
So what we foundencontró in this studyestudiar was that, surprisinglyasombrosamente,
325
738551
2978
Lo que encontramos en este estudio
fue que, sorprendentemente,
12:33
passpasar phrasesfrases were not actuallyactualmente all that good.
326
741529
3768
utilizar frases no era,
en realidad, tan bueno.
12:37
People were not really better at rememberingrecordando
327
745297
2793
La gente no recordaba mejor
12:40
the passpasar phrasesfrases than these randomaleatorio passwordscontraseñas,
328
748090
2953
las frases de paso
que estas contraseñas aleatorias,
12:43
and because the passpasar phrasesfrases are longermás,
329
751043
2754
y como las frases de paso
son más largas,
12:45
they tooktomó longermás to typetipo
330
753797
1226
se precisa más tiempo
para escribirlas
12:47
and people madehecho more errorserrores while typingmecanografía them in.
331
755023
3010
y la gente cometía más errores
al escribirlas.
12:50
So it's not really a clearclaro winganar for passpasar phrasesfrases.
332
758033
3227
Así que no es realmente una victoria clara
para las frases de paso.
12:53
Sorry, all of you xkcdxkcd fansaficionados.
333
761260
3345
Perdón por todos
los fans de xkcd.
12:56
On the other handmano, we did find
334
764605
1892
Por otro lado, averiguamos
12:58
that pronounceablepronunciable passwordscontraseñas
335
766497
1804
que las contraseñas pronunciables
13:00
workedtrabajó surprisinglyasombrosamente well,
336
768301
1471
funcionaron sorprendentemente bien,
13:01
and so we actuallyactualmente are doing some more researchinvestigación
337
769772
2418
por eso estamos profundizando más
13:04
to see if we can make that
approachenfoque work even better.
338
772190
3195
para ver si podemos hacer
que este enfoque sea aún mejor.
13:07
So one of the problemsproblemas
339
775385
1812
Uno de los problemas
13:09
with some of the studiesestudios that we'venosotros tenemos donehecho
340
777197
1623
con algunos de los estudios realizados
13:10
is that because they're all donehecho
341
778820
1683
es que, debido a que está todo hecho,
13:12
usingutilizando MechanicalMecánico Turkturco,
342
780503
1590
usando Mechanical Turk,
13:14
these are not people'sla gente realreal passwordscontraseñas.
343
782093
1812
no se trata de contraseñas
reales de la gente.
13:15
They're the passwordscontraseñas that they createdcreado
344
783905
2105
Son las claves que
13:18
or the computercomputadora createdcreado for them for our studyestudiar.
345
786010
2495
la computadora ha creado para ellos
para nuestro estudio.
13:20
And we wanted to know whethersi people
346
788505
1568
Y lo que queríamos
saber es si la gente
13:22
would actuallyactualmente behavecomportarse the samemismo way
347
790073
2312
en realidad se comportaría
de la misma forma
13:24
with theirsu realreal passwordscontraseñas.
348
792385
2227
con sus contraseñas reales.
13:26
So we talkedhabló to the informationinformación
securityseguridad officeoficina at CarnegieCarnegie MellonMellon
349
794612
3681
Así que hablamos con la oficina de
seguridad informática en Carnegie Mellon
13:30
and askedpreguntó them if we could
have everybody'stodos estan realreal passwordscontraseñas.
350
798293
3803
y preguntamos si podíamos obtener
contraseñas reales de todo el mundo.
13:34
Not surprisinglyasombrosamente, they were a little bitpoco reluctantreacio
351
802096
1754
No es de extrañar,
que fueran un poco reticentes
13:35
to sharecompartir them with us,
352
803850
1550
de dárnoslas,
13:37
but we were actuallyactualmente ablepoder to work out
353
805400
1810
pero estábamos realmente
dispuestos a elaborar
13:39
a systemsistema with them
354
807210
1040
un sistema con ellos
13:40
where they put all of the realreal passwordscontraseñas
355
808250
2109
donde poner todas
las contraseñas reales
13:42
for 25,000 CMUCMU studentsestudiantes, facultyfacultad and staffpersonal,
356
810359
3091
de 25 000 estudiantes de CMU,
profesores y personal,
13:45
into a lockedbloqueado computercomputadora in a lockedbloqueado roomhabitación,
357
813450
2448
en una computadora bloqueada
en una habitación cerrada,
13:47
not connectedconectado to the InternetInternet,
358
815898
1394
sin conexión a Internet,
13:49
and they rancorrió codecódigo on it that we wroteescribió
359
817292
1848
para ejecutar el código
que escribimos
13:51
to analyzeanalizar these passwordscontraseñas.
360
819140
2152
para analizar estas contraseñas.
13:53
They auditedauditado our codecódigo.
361
821292
1326
Auditaron nuestro código.
13:54
They rancorrió the codecódigo.
362
822618
1312
Ejecutaron el código.
13:55
And so we never actuallyactualmente saw
363
823930
1738
Y así nunca, en realidad, vimos
13:57
anybody'scualquiera passwordcontraseña.
364
825668
2817
las contraseñas de nadie.
14:00
We got some interestinginteresante resultsresultados,
365
828485
1515
Obtuvimos algunos
resultados interesantes,
14:02
and those of you TepperTepper studentsestudiantes in the back
366
830000
1696
y aquellos de Uds. estudiantes
de Tepper de atrás
14:03
will be very interestedinteresado in this.
367
831696
2875
estarán muy interesados en esto.
14:06
So we foundencontró that the passwordscontraseñas createdcreado
368
834571
3731
Así nos encontramos con que
las contraseñas creadas
14:10
by people affiliatedasociado with the
schoolcolegio of computercomputadora scienceciencia
369
838302
2158
por las personas afiliadas
a la escuela de ciencias de la computación
14:12
were actuallyactualmente 1.8 timesveces strongermás fuerte
370
840460
2324
en realidad eran 1,8 veces más seguras
14:14
than those affiliatedasociado with the businessnegocio schoolcolegio.
371
842784
3738
que las de los afiliados a
la escuela de negocios.
14:18
We have lots of other really interestinginteresante
372
846522
2040
Tenemos también información
14:20
demographicdemográfico informationinformación as well.
373
848562
2238
demográfica muy interesante.
14:22
The other interestinginteresante thing that we foundencontró
374
850800
1846
Otra cosa interesante
que encontramos
14:24
is that when we comparedcomparado
the CarnegieCarnegie MellonMellon passwordscontraseñas
375
852646
2440
es que al comparar
las contraseñas de Carnegie Mellon
14:27
to the MechanicalMecánico Turk-generatedTurk-generado passwordscontraseñas,
376
855086
2283
con las contraseñas
generadas por Mechanical Turk,
14:29
there was actuallyactualmente a lot of similaritiessimilitudes,
377
857369
2619
había una gran cantidad de similitudes,
14:31
and so this helpedayudado validatevalidar our researchinvestigación methodmétodo
378
859988
1948
y así que esto ayudó a validar
nuestro método de investigación
14:33
and showespectáculo that actuallyactualmente, collectingcoleccionar passwordscontraseñas
379
861936
2510
y mostrar que en realidad,
la recogida de contraseñas
14:36
usingutilizando these MechanicalMecánico Turkturco studiesestudios
380
864446
1808
utilizando estos estudios
de Mechanical Turk
14:38
is actuallyactualmente a validválido way to studyestudiar passwordscontraseñas.
381
866254
2788
es en realidad una forma válida
para estudiar las contraseñas.
14:41
So that was good newsNoticias.
382
869042
2285
Así que fue una buena noticia.
14:43
Okay, I want to closecerca by talkinghablando about
383
871327
2414
Bien, quiero cerrar hablando de
14:45
some insightsideas I gainedganado while on sabbaticalsabático
384
873741
2068
algunas ideas que tuve
durante mi año sabático
14:47
last yearaño in the CarnegieCarnegie MellonMellon artart schoolcolegio.
385
875809
3201
el año pasado en la escuela de arte
de Carnegie Mellon.
14:51
One of the things that I did
386
879010
1281
Una de las cosas que hice
14:52
is I madehecho a numbernúmero of quiltsedredones,
387
880291
1524
es una serie de edredones,
14:53
and I madehecho this quiltedredón here.
388
881815
1548
y he hecho este edredón de aquí.
14:55
It's calledllamado "SecuritySeguridad BlanketCobija."
389
883363
1899
Se llama "Manta de Seguridad".
14:57
(LaughterRisa)
390
885262
2431
(Risas)
14:59
And this quiltedredón has the 1,000
391
887693
3095
Este edredón tiene las 1000
15:02
mostmás frequentfrecuente passwordscontraseñas stolenrobado
392
890788
2328
contraseñas robadas con más frecuencia
15:05
from the RockYouRockearte websitesitio web.
393
893116
2571
del sitio web RockYou.
15:07
And the sizetamaño of the passwordscontraseñas is proportionalproporcional
394
895687
2061
El tamaño de las
contraseñas es proporcional
15:09
to how frequentlyfrecuentemente they appearedapareció
395
897748
1901
a la frecuencia con que aparecían
15:11
in the stolenrobado datasetconjunto de datos.
396
899649
2248
en el conjunto de datos robados.
15:13
And what I did is I createdcreado this wordpalabra cloudnube,
397
901897
2632
Lo que hice es crear
esta nube de palabras,
15:16
and I wentfuimos throughmediante all 1,000 wordspalabras,
398
904529
2132
y examiné todas las 1000 palabras,
15:18
and I categorizedcategorizado them into
399
906661
1795
y las categoricé en
15:20
loosesuelto thematictemático categoriescategorías.
400
908456
2380
categorías temáticas sueltas.
15:22
And it was, in some casescasos,
401
910836
1903
Y, en algunos casos,
15:24
it was kindtipo of difficultdifícil to figurefigura out
402
912739
2038
era un poco difícil de entender
15:26
what categorycategoría they should be in,
403
914777
1755
en qué categoría debían estar
15:28
and then I color-codedcódigo de color them.
404
916532
1899
y entonces las identifiqué por colores.
15:30
So here are some examplesejemplos of the difficultydificultad.
405
918431
2619
Así que estos son algunos ejemplos
de la dificultad.
15:33
So "justinjustin."
406
921050
1181
Digamos "justin".
15:34
Is that the namenombre of the userusuario,
407
922231
1829
¿Es ese el nombre del usuario,
15:36
theirsu boyfriendnovio, theirsu sonhijo?
408
924060
1322
su novio, su hijo?
15:37
Maybe they're a JustinJustin BieberBieber fanventilador.
409
925382
2888
Tal vez son un fan de Justin Bieber.
15:40
Or "princessprincesa."
410
928270
2225
O "princesa".
15:42
Is that a nicknameapodo?
411
930495
1635
¿Es un apodo?
15:44
Are they DisneyDisney princessprincesa fansaficionados?
412
932130
1595
¿Son fans de las princesas de Disney?
15:45
Or maybe that's the namenombre of theirsu catgato.
413
933725
3694
O tal vez ese es el nombre de su gato.
15:49
"IloveyouTe amo" appearsaparece manymuchos timesveces
414
937419
1655
"Iloveyou" aparece muchas veces
15:51
in manymuchos differentdiferente languagesidiomas.
415
939074
1545
en muchos idiomas diferentes.
15:52
There's a lot of love in these passwordscontraseñas.
416
940619
3735
Hay mucho amor
en estas contraseñas.
15:56
If you look carefullycuidadosamente, you'lltu vas a see there's alsoademás
417
944354
1680
Si miran atentamente,
verán que hay también
15:58
some profanityblasfemia,
418
946034
2267
algunas palabras soeces,
16:00
but it was really interestinginteresante to me to see
419
948301
1950
pero lo que fue realmente
interesante ver para mí
16:02
that there's a lot more love than hateodio
420
950251
2307
es que hay mucho
más amor que odio
16:04
in these passwordscontraseñas.
421
952558
2292
en estas contraseñas.
16:06
And there are animalsanimales,
422
954850
1490
Y hay animales,
16:08
a lot of animalsanimales,
423
956340
1360
una gran cantidad de animales,
16:09
and "monkeymono" is the mostmás commoncomún animalanimal
424
957700
2304
y "mono" es el animal más común
16:12
and the 14thth mostmás popularpopular passwordcontraseña overallen general.
425
960004
3675
y la 14 contraseña más popular.
16:15
And this was really curiouscurioso to me,
426
963679
2231
Y esto fue realmente curioso para mí,
16:17
and I wonderedpreguntado, "Why are monkeysmonos so popularpopular?"
427
965910
2523
y me pregunté:
"¿Por qué son tan populares los monos?"
16:20
And so in our last passwordcontraseña studyestudiar,
428
968433
3352
Y así, en nuestro último
estudio sobre contraseñas,
16:23
any time we detecteddetectado somebodyalguien
429
971785
1686
cuando detectamos que alguien
16:25
creatingcreando a passwordcontraseña with the wordpalabra "monkeymono" in it,
430
973471
2649
crea una contraseña
usando "mono",
16:28
we askedpreguntó them why they had
a monkeymono in theirsu passwordcontraseña.
431
976120
3030
les preguntamos por qué tenían
un mono en su contraseña.
16:31
And what we foundencontró out --
432
979150
1910
Y lo que averiguamos...
16:33
we foundencontró 17 people so farlejos, I think,
433
981060
2103
encontramos 17 personas
hasta el momento
16:35
who have the wordpalabra "monkeymono" --
434
983163
1283
que tienen la palabra "mono"...
16:36
We foundencontró out about a thirdtercero of them said
435
984446
1812
Encontramos que un tercio de ellos dijo
16:38
they have a petmascota namedllamado "monkeymono"
436
986258
1740
que tienen una mascota llamada "mono"
16:39
or a friendamigo whosecuyo nicknameapodo is "monkeymono,"
437
987998
2291
o un amigo cuyo apodo es "mono"
16:42
and about a thirdtercero of them said
438
990289
1660
y alrededor de un tercio de ellos dijo
16:43
that they just like monkeysmonos
439
991949
1533
simplemente que le gustan los monos
16:45
and monkeysmonos are really cutelinda.
440
993482
1638
y que los monos son muy lindos.
16:47
And that guy is really cutelinda.
441
995120
3639
Y ese joven es muy lindo.
16:50
So it seemsparece that at the endfin of the day,
442
998759
3408
Así, parece que al final,
16:54
when we make passwordscontraseñas,
443
1002167
1783
cuando hacemos las contraseñas,
16:55
we eitherya sea make something that's really easyfácil
444
1003950
1974
hacemos algo que o es muy fácil
16:57
to typetipo, a commoncomún patternpatrón,
445
1005924
3009
de escribir, un patrón común,
17:00
or things that remindrecordar us of the wordpalabra passwordcontraseña
446
1008933
2486
o cosas que nos recuerdan
a la palabra contraseña
17:03
or the accountcuenta that we'venosotros tenemos createdcreado the passwordcontraseña for,
447
1011419
3312
o a la cuenta para la que hemos
creado la contraseña,
17:06
or whateverlo que sea.
448
1014731
2617
o lo que sea.
17:09
Or we think about things that make us happycontento,
449
1017348
2642
O pensamos acerca de las
cosas que nos hacen felices,
17:11
and we createcrear our passwordcontraseña
450
1019990
1304
y creamos nuestra contraseña
17:13
basedbasado on things that make us happycontento.
451
1021294
2238
basados en las cosas
que nos hacen felices.
17:15
And while this makeshace typingmecanografía
452
1023532
2863
Y si bien esto facilita la escritura
17:18
and rememberingrecordando your passwordcontraseña more fundivertido,
453
1026395
2870
y recordarla es más divertido,
17:21
it alsoademás makeshace it a lot easiermás fácil
454
1029265
1807
también hace que sea mucho más fácil
17:23
to guessadivinar your passwordcontraseña.
455
1031072
1506
descifrar la contraseña.
17:24
So I know a lot of these TEDTED TalksNegociaciones
456
1032578
1748
Así que sé que un montón
de estas charlas TED
17:26
are inspirationalinspirador
457
1034326
1634
son fuente de inspiración
17:27
and they make you think about nicebonito, happycontento things,
458
1035960
2461
y hacen pensar sobre
cosas agradables y felices,
17:30
but when you're creatingcreando your passwordcontraseña,
459
1038421
1897
pero cuando estén
creando su contraseña,
17:32
try to think about something elsemás.
460
1040318
1991
traten de pensar en otra cosa.
17:34
Thank you.
461
1042309
1107
Gracias.
17:35
(ApplauseAplausos)
462
1043416
553
(Aplausos)
Translated by Lidia Cámara de la Fuente
Reviewed by Ciro Gomez

▲Back to top

ABOUT THE SPEAKER
Lorrie Faith Cranor - Security researcher
At Carnegie Mellon University, Lorrie Faith Cranor studies online privacy, usable security, phishing, spam and other research around keeping us safe online.

Why you should listen

Lorrie Faith Cranor is an Associate Professor of Computer Science and of Engineering and Public Policy at Carnegie Mellon University, where she is director of the CyLab Usable Privacy and Security Laboratory (CUPS) and co-director of the MSIT-Privacy Engineering masters program. She is also a co-founder of Wombat Security Technologies, Inc. She has authored over 100 research papers on online privacy, usable security, phishing, spam, electronic voting, anonymous publishing, and other topics.

Cranor plays a key role in building the usable privacy and security research community, having co-edited the seminal book Security and Usability and founded the Symposium On Usable Privacy and Security (SOUPS). She also chaired the Platform for Privacy Preferences Project (P3P) Specification Working Group at the W3C and authored the book Web Privacy with P3P. She has served on a number of boards, including the Electronic Frontier Foundation Board of Directors, and on the editorial boards of several journals. In 2003 she was named one of the top 100 innovators 35 or younger by Technology Review.

More profile about the speaker
Lorrie Faith Cranor | Speaker | TED.com

Data provided by TED.

This site was created in May 2015 and the last update was on January 12, 2020. It will no longer be updated.

We are currently creating a new site called "eng.lish.video" and would be grateful if you could access it.

If you have any questions or suggestions, please feel free to write comments in your language on the contact form.

Privacy Policy

Developer's Blog

Buy Me A Coffee